Zugangsdatentresor

Was der Vault ist

Der YeePilot Vault ist ein lokaler, verschlüsselter Speicher für Geheimnisse und operative Zugangsdaten. Er ist für Endnutzer gedacht, die sensible Daten nicht in Klartextdateien oder Shell-Verläufen liegen lassen möchten.

Die Hauptdatei ist:

~/.yeepilot/vault.json.enc

Unterstützte Entsperrmethoden

Aktuell unterstützt YeePilot:

• password
• pin
• yubikey
• yubikey+pin

Zusätzlich erzeugt die Initialisierung einen Recovery Key. Bewahren Sie ihn offline auf. Er ist für Wiederherstellung gedacht und nicht für den täglichen Gebrauch.

Vault initialisieren

yeepilot vault init --method password
yeepilot vault status

Bei der Initialisierung zeigt YeePilot den Recovery Key genau einmal an. Speichern Sie ihn sicher, bevor Sie fortfahren.

Entsperren und sperren

Prüfen, ob das Entsperren funktioniert:

yeepilot vault unlock --method password

Prozess-lokalen Entsperrstatus im CLI-Modus löschen:

yeepilot vault lock

In der TUI sind die Alltagsbefehle:

/unlock
/lock

Einträge sicher prüfen

Metadaten aller Einträge anzeigen:

yeepilot vault list --unlock-method password

Metadaten eines Eintrags ansehen:

yeepilot vault showmeta mein-server --unlock-method password

Diese Befehle sind dafür gedacht, Metadaten zu prüfen und nicht leichtfertig Geheimnisse ins Terminal zu schreiben.

Weitere Entsperrmethode hinzufügen

yeepilot vault add-method --unlock-method password --method yubikey

Andere Methode zur primären Methode machen:

yeepilot vault primary --method pin

Recovery Key rotieren:

yeepilot vault rotate-recovery --unlock-method password

SSH-Vertrauen und Verbindungstest

Host-Key scannen und vertrauen:

yeepilot vault trust-host example.com:22

Host mit erwartetem Fingerprint vertrauen:

yeepilot vault trust-host example.com:22 SHA256:...

Verbindung mit einem Tier-2-Vault-Eintrag testen:

yeepilot vault connect mein-server --unlock-method password

Portables Vault-Bundle

Verschlüsseltes Bundle exportieren:

yeepilot vault portable export backup.ypbundle

Portables Bundle importieren:

yeepilot vault portable import backup.ypbundle

Nutzen Sie das bewusst. Der Import ist als Backup-und-Ersetzen-Workflow gedacht.

Interaktive Vault-Aktionen in der TUI

Nützliche Befehle sind:

• /vault status
• /vault init <password|pin|yubikey|yubikey+pin>
• /vault list
• /vault showmeta <name>
• /vault add-method <method> [primary]
• /vault primary <method>
• /vault rotate-recovery
• /vault autolock <duration|off>
• /vault copy <name>
• /vault pwgen <name> [length]
• /vault import-ssh <name> <host> <user> <keyfile> [port]
• /connect <entry>
• /connect trust <host[:port]> [fingerprint]
• /portable export|import <bundle.ypbundle>

Client- und Vault-Sperre

Der Vault kann zusammen mit dem Client-Sperrzustand arbeiten.

Wichtige Einstellungen:

vault:
  enabled: false
  start_locked: true
  auto_lock_duration: 15m
  bruteforce_protection_enabled: true
  wipe_on_bruteforce_enabled: false
  wipe_after_failures: 15

Für die meisten Nutzer gilt:

• bruteforce_protection_enabled: true aktiv lassen
• Auto-Lock eingeschaltet lassen
• automatisches Löschen bei Brute-Force nur aktivieren, wenn Sie die Recovery-Folgen wirklich verstehen

Gute Praxis für Endnutzer

• den Vault einrichten, bevor Sie ihn dringend brauchen
• mindestens eine verlässliche Entsperrmethode pflegen
• den Recovery Key offline aufbewahren
• SSH-Fingerprints vor dem Vertrauen prüfen
• Auto-Lock auf unbeaufsichtigten Geräten aktiv halten